CVE-2017-10784: WEBrick の BASIC 認証におけるエスケープシーケンス挿入の脆弱性について
Posted by usa on 14 Sep 2017 Ruby の標準添付ライブラリである WEBrick で BASIC 認証を使用した場合、攻撃者により悪意のあるエスケープシーケンスをログに挿入されうる脆弱性が発見されました。 この脆弱性は、CVE-2017-10784 として登録されています。 詳細 WEBrick において、BASIC 認証を使用した場合、ユーザー名として任意の文字列を渡すことができますが、この文字列がそのままログに出力されていました。 そのため、攻撃者は悪意のあるエスケープシーケンスをログに挿入することが可能となり、管理者がログを閲覧する際に、端末エミュレータで危険な制御文字を実行される可能性がありました。 この脆弱性は、以前報告されて修正済みの脆弱性に似ていますが、BASIC 認証の場合に、同様の問題が残っていました。 この問題の影響を受けるバージョンの R
Authenticating to the REST API - GitHub Docs
About authentication Many REST API endpoints require authentication or return additional information if you are authenticated. Additionally, you can make more requests per hour when you are authenticated. To authenticate your request, you will need to provide an authentication token with the required scopes or permissions. There a few different ways to get a token: You can create a personal access
Basic認証とOAuth - Qiita
Basic認証とOAuthとその辺の情報について整理しておく。OAuthや認証・認可について説明しようとすると、1文字記述するたびに誤りが含まれてしまう可能性があるので、本当に緊張感を持って記述しなければならない。それでもなお、この文章にはたくさんの誤りが含まれている。 UsernameとPasswordを受け取って認証する形式の認証方法。UsernameにはEmailを使うこともある (要は全ユーザの中で一意なことが保証されていてかつ他の人がその値を知っていても特に問題がないという情報であればOK)。Passwordは本人しか知り得ない情報。 OAuthという仕様に則って提供される認可方法。古いOAuth 1.0と、OAuth 1.0の複雑なところなどを改善したOAuth 2.0がある。一般的にはOAuth 2.0を使うことが多いが、例えば幾つかのサービスの提供している認可方法はOAut
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
